php - 防止 HTML 元素中的 XSS-6ren

php - 防止 HTML 元素中的 XSS

转载作者：行者123 更新时间：2023-12-04 00:45:12

25

4

以下是否足以防止 HTML 元素内部的 XSS？

function XSS_encode_html ( $str )
{
    $str = str_replace ( '&', "&amp;", $str );
    $str = str_replace ( '<', "&lt;", $str );
    $str = str_replace ( '>', "&gt;", $str );
    $str = str_replace ( '"', " &quot;", $str );
    $str = str_replace ( '\'', " &#x27;", $str );
    $str = str_replace ( '/', "&#x2F;", $str );

    return $str;
}

正如这里提到的:-
https://www.owasp.org/index.php/Abridged_XSS_Prevention_Cheat_Sheet#RULE_.231_-_HTML_Escape_Before_Inserting_Untrusted_Data_into_HTML_Element_Content

编辑

我没有使用 htmlspecialchars() 因为:-

它不会将/更改为 /
'(单引号)在设置 ENT_QUOTES 时变为 '''(或 ')。

根据 OWASP，'(单引号)应该变成 '(叫我迂腐)并且，
' 不推荐，因为它不在 HTML 规范中

最佳答案

在元素的内容中，the only character that can be harmful is the start-tag delimiter < 因为它可能表示某些标记声明的开始，无论它是开始标记、结束标记还是注释。所以该字符应该总是被转义。

其他字符不一定需要在元素内容中进行转义。

引号只需要在标签内进行转义，特别是当用于包含在相同引号内或根本不被引号的属性值时。同样，标记声明结束分隔符 >只需要在标签内进行转义，此处仅当用于不带引号的属性值时。然而，escaping plain ampersands as well is recommended to avoid them being interpreted as start of a character reference by mistake .

现在至于替换/的原因同样，这可能是由于 SGML 中的一个特性，标记语言 HTML 改编自，这允许所谓的 null end-tag :

To see how null end-tags work in practice consider its use in conjunction with an element which can be defined as:
<!ELEMENT ISBN  - -  CDATA --ISBN number-- >
Instead of entering an ISBN number as:
<ISBN>0 201 17535 5</ISBN>
we can use the null end-tag option to enter the element in the shortened form:
<ISBN/0 201 17535 5/

但是，我从未见过任何浏览器实现过此功能。 HTML的语法规则一直比SGML的语法规则要严格。

另一个更可能的原因是所谓的 raw text elements ( script and style ) 的内容模型。，这是带有以下 restriction 的纯文本:

The text in raw text and RCDATA elements must not contain any occurrences of the string "</" (U+003C LESS-THAN SIGN, U+002F SOLIDUS) followed by characters that case-insensitively match the tag name of the element followed by one of "tab" (U+0009), "LF" (U+000A), "FF" (U+000C), "CR" (U+000D), U+0020 SPACE, ">" (U+003E), or "/" (U+002F).

这里表示在原始文本元素内部，例如 script出现</script/将表示结束标记:

<script>
alert(0</script/.exec("script").index)
</script>

虽然是完全有效的 JavaScript 代码，但结束标记将由 </script/ 表示.但除此之外，/不会受到任何伤害。如果你只允许在 JavaScript 上下文中使用转义 HTML 的任意输入，你就已经注定失败了。

顺便说一句，什么样的character reference并不重要这些字符被转义，无论是命名字符引用(即实体引用)，还是数字字符引用，无论是十进制还是十六进制表示法。它们都引用相同的字符。

关于php - 防止 HTML 元素中的 XSS，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/16125244/

25

4

0

文章推荐： hibernate-envers - 在 hibernate envers 中显示审计历史

文章推荐： bluetooth - 嵌入式系统的成熟蓝牙堆栈？

文章推荐： geolocation - 这个 'address'末尾的代码是什么

文章推荐： macos - 在 OS X 中监听键盘按下

xss - 服务器 XSS 与客户端 XSS
服务器XSS的区别有什么明确的解释和客户端 XSS？我阅读了 OWASP 网站上的解释，但对我来说不是很清楚。我知道反射、存储的 DOM 类型。最佳答案首先，为了让其他人发现问题，我们从 OWA
xss - Mustache XSS 是否是防 XSS 的？
我在考虑我的应用程序的 XSS 漏洞。在服务器端，我不清理输入或输出，所以 alert(document.cookies) 完全如此存储在数据库中。要在客户端查看此值，我使用 Mustache。如果这
xss - 存储的 xss 和反射的 xss 有什么区别？
我无法理解存储的 xss 和反射的 xss 之间的区别是什么。你能举个例子告诉我吗？最佳答案存储型 XSS 意味着一些坚持数据(通常存储在数据库中)未在页面中进行清理，这意味着每个人都可能受到该
xss - XSS 背后的一般概念是什么？
Cross-site scripting (XSS) is a type of computer security vulnerability typically found in web appli
xss - XSS 是如何工作的？
有人可以用简单的英语解释 XSS 是如何工作的吗？也许举个例子。谷歌搜索没有多大帮助。最佳答案跨站点脚本基本上是动态网页的安全漏洞，攻击者可以创建恶意链接将不需要的可执行 JavaScript 注
xss - 本地存储和 XSS
站点的本地存储值可以被xss(跨站点脚本)覆盖吗？据我在 Chrome 和 Firefox 中验证，一个站点的 localstorage 值不能被其他站点访问。谁能告诉我 localstorage 值
php - 浏览器的 X-XSS-Protection/XSS Auditor 是否足以防止 XSS？
据我了解，我需要在 header 服务器端禁用 X-XSS-Protection，以防止通过 GET 请求发生 XSS。例如，用户浏览到 http://mysite.com/index.php?pa
xss - .setinterval 和 XSS
在 OWASP XSS prevention cheat sheet它表示无法将不受信任的数据安全地放入 .setinterval JS 函数中。即使被转义/编码，XSS 仍然是可能的。但如果我有这
xss - 防止 XSS 攻击
我正在创建一个网页，用户可以在其中交互并在远程计算机上执行基本的文件系统操作(创建文件/目录、删除文件/目录、导航文件系统)。该网页是基本的 HTML(UTF-8 编码)和 Javascript。我
xss - 为什么这个 XSS 不起作用？
可能是简单的解决方案，但我不明白为什么我尝试通过索引页面上的 XSS 输入在我的欢迎页面上运行此警报脚本不起作用。我有一个带有表单的简单 index.htm 页面:
xss - Markdown 和 XSS
好的，所以我一直在阅读关于此处和其他地方的 Markdown ，并且用户输入和数据库之间的步骤通常被给出为将 markdown 转换为 html 清理 html(带白名单) 插入数据库但对我来说，
xss - 是否有跨平台工具可以直接将 XSS 攻击写入数据库？
我最近发现 this blog entry在将 XSS 攻击直接写入数据库的工具上。它看起来是一种非常好的方法来扫描应用程序以查找我的应用程序中的弱点。我尝试在 Mono 上运行它，因为我的开发平台
xss - 确定 XSS 攻击漏洞
我正在经历一场无情的 XSS 攻击，但我似乎无法阻止。我的网站上共有三个输入表单 - 一个用于上传图像，一个用于向页面添加评论，第三个用于通过 php 发送电子邮件。我以一种或另一种方式保护它们所有人
xss - Qooxdoo 是否针对 XSS 提供保护
我正在寻找有关 Qooxdoo 安全性的信息。我想检查我的应用程序 vs OWASP top 10 需要审查的一点是 XSS OWASP A3 XSS 我如何确定 Qooxdoo 是安全的，可以抵御
xss - 谁能告诉我为什么/如何这个 XSS 向量在浏览器中工作？
我的网站遭受了多次 XSS 攻击。以下 HTML 片段是攻击者注入(inject)的 XSS 向量: 看起来脚本不应该执行，但是使用 IE9 的开发工具，我能够看到浏览器将 HTML 转换为以
xss - 如何在 NVelocity 上处理 XSS
CaSTLe Project 功能丰富，包括一些很棒的子项目，使用它进行开发是一种乐趣。我的团队几乎准备好交付定制的 EAM我们正在完善我们的系统。我们尝试了一些基本的 XSS 攻击并猜测:它们都有
xss - HTML 编码是否可以防止 XSS 安全漏洞？
通过简单地转换以下(“大 5”): & -> & < > -> > " -> " ' -> ' 你会阻止 XSS 攻击吗？我认为您也需要在字符级别上列入白名
xss - 处理 XSS 的方法(最佳实践)是什么？
我正在使用 ASP.NET 并且在 ASP.NET 页面上具有用于检查 XSS 验证的验证属性。但是我想知道这真的足够了吗？我访问了一些关于 stackoverflow 的相关帖子，这对我有帮助，但
xss - ASP.NET MVC XSS 验证
我们正在使用 ASP.NET MVC 5.0 来构建一个网站。如果我在保存时输入一些 javascript 文本框，我会得到一个“检测到可能不安全的输入”错误页面 - 太好了。然而，我们的一些屏幕使
javascript - 持久性 XSS 和非持久性 XSS 之间的主要区别和定义
持久性 XSS 和非持久性 XSS 之间的主要区别是什么？最佳答案顾名思义，持久型 XSS 和非持久型 XSS 的区别如下。持久性 XSS 存储在 cookie 或服务器数据库中的 XSS。聊

首页

博学

6Ren·AI

商城

php - 防止 HTML 元素中的 XSS